在当今数字化时代,全球数据流通与市场化建设正成为推动经济增长和技术创新的关键动力。
(1)美国 在数据要素流通制度建设方面,美国将商业利 益作为其数据政策的首要考量,致力于推进数据要 素的市场化进程。通过倡导数据的自由流动和开放 获取,旨在积累和控制更多的全球数据资产,进而 巩固其企业在技术和市场领域的领先地位。 在数据产权方面,美国国会曾于 1996 提出建 立数据库产权立法,但由于其可能削弱国家的研究 能力而遭到美国国家教育协会、美国图书馆协会、 美国国家科学院和美国国家工程院等组织强烈反对, 近年来美国国内逐渐形成对数据确立产权可能会形 成垄断的共识。对于政府公共数据的公开共享,美 国采取大力支持推进的态度,其于1966年发布的《信 息自由法》首次确定了政府信息“以公开为原则、不 公开为例外”的基本原则,后于 2009 年发布《开放 政府法》及《开放政府指令》要求联邦机构更积极 地披露政府信息,并为公众获取政府记录提供更便 捷的途径,加强数据共享和协作。而《政府信息公 开和机器可读行政命令》和《联邦数据战略与 2020 年行动计划》则进一步明确了政府数据开放的原则、 基本框架、数据基础设施建设和标准实践等内容。 在地方层面,美国目前已有 16 个州发布相关规定, 要求行政部门开放数据。而针对数据交易,美国当 前以数据经纪交易作为其主要交易方式,鼓励数据 自由交易。数据经纪商通过搜集、整合、分析和处 理各类用户数据,构建出详尽的消费者画像、身份 验证信息和个性化数据档案等数据产品,并将其销 售给需要这些信息的企业和组织,用于目标市场营 销、风险管理以及监测竞争者动态等目的。这些数 据经纪商的数据获取途径多样,包括利用政府数据 开放平台、向信用卡公司等机构购买数据、通过互 联网爬虫抓取在线信息,以及收集各种线下资源数 据。此外,为建立国际数据合作,美国也已开始致 力于全球数据传输机制的建设,2023 年 6 月美国和英国联合发布了《大西洋宪章:21 世纪美英经济伙 伴关系框架》,同时宣布启动美英数据桥项目,旨 在在确保严格的隐私保护措施的前提下,加强两国 数据的互通性。随后于同年 7 月 10 日,欧盟委员会 批准了欧盟 - 美国数据隐私框架(即隐私盾 2.0), 此外,美国也正在与印度、巴西、印尼等国家就跨 境数据问题展开多边磋商 2 。
为确保数据流通中的个人隐私和数据安全,近 年来美国就隐私保护颁布了一系列相关法案。1974 年,美国实施的《隐私法案》对政府机构应当如何 收集个人信息、收集到的个人信息如何向公众开放 及信息主体的权利等做出了详细规定。此后,美国 采取分行业的分散立法模式,在金融、健康、教育、 消费等行业领域制定数据保护规范。同时,美国多 个州在其原有的个人信息保护法律基础上作出修订, 进一步扩展“个人信息”定义,补充数据安全法律法 规细节。今年,美国联邦层面由总统签发《敏感数 据行政令》限制有关国家通过商业方式获取美国个 人和政府的敏感信息,主要针对“数据承包商”等成 批处理、出售或转让美国个人数据的公司。此外, 美国国会也于今年通过了针对个人信息和数据隐私 保护的《隐私权法案(草案)》,这是自 2022 年 “ADPPA”之后,美国再次进行联邦层面统一的隐私 保护立法 3 。整体来看,美国的数据安全立法错综复 杂仍缺乏统筹性的数据安全法案,但近一年来,美 国已经开始启动联邦层面的隐私保护建设,以期形 成全国统一的隐私保护标准,结束各州隐私法规混 杂的局面。
(2)欧盟 数据要素的流通和市场化制度建设是欧盟推动 数字经济转型的关键一环。欧盟通过一系列创新政 策和法规,致力于构建一个安全、透明且高效的数 据流通环境,实现数据驱动的创新和增长。 在数据要素流通制度体系建设方面,欧盟于 2003 年首次发布《公共部门信息再利用指令》,后 于 2013 年和 2019 年进行修订,指令规定了公共部 门信息范围、使用公共信息的授权、用户最感兴趣 和最常使用的信息类型,以及公共部门应如何收费 等内容。自 2019 年起,欧盟又逐步采取了一系列相 关重要措施。《欧盟非个人数据自由流动条例》(FFD) 的发布为商业数据的自由流动提供了基础性指导, 确保数据在成员国间顺畅流通。随后,《欧洲数据 战略》于 2020 年发布,旨在通过统一的数据治理框 架、加强基础设施投资、提升数据权利意识和技能, 以及构建公共欧洲数据空间等措施,完善数据市场 的法律体系。为了达成其战略目标,欧盟还构建了“共 同数据空间”实操平台和工具集,旨在促进特定关键 领域的数据共享和利用。2021 年,《数据治理法案》 (DGA)的出台进一步促进了数据共享,鼓励公共 部门数据的再利用和企业间的数据交易。而 2022 年 发布的《数据法案》(Data Act)对不同主体、数 据类型和交易场景进行了细化规范,并为潜在的权 利冲突设计了监管模式和争端解决机制 4 。
而在数据安全保障方面,欧盟在数据安全和个 人信息保护方面设立了一套在全球范围内容较为全 面且严格的保障措施,形成了成熟而完备的数据保护 体系框架。欧盟理事会和欧洲议会于 2016 年 4 月通 过了《通用数据保护条例》(简称“GDPR”),该条 例于 2018 年正式生效,GDPR 作为欧盟数据安全法 律体系的核心,使得欧盟个人数据保护及监管达到 新高峰。此后,欧盟以 GDPR 为基础,建立了统一 的数据安全治理框架。2018 年 11 月欧盟颁布《非个 人数据自由流动条例》统一非个人数据的自由流动, 与GDPR共同构成了数据安全领域的关键立法体系, 实现数据安全与数据流通的平衡;《电子隐私条例》 作为 GDPR 在电子通信领域起细化和补充作用的特 2023-2024 全球数据流通与隐私科技发展报告 Global Data Circulation and Privacy Technology Development Report 09 别法,两者在监管规则上保持一定的一致性;2023 年 1 月,欧盟就电子证据的相关法规和指令草案达成 协议,有关当局可直接向其他成员国的服务提供者 发送获取电子证据的司法令,形成国际跨境司法协 助和数据治理的新机制;而《为保持欧盟个人数据 保护级别而采用的数据跨境转移工具全球数据合规 与隐私科技发展报告 Global Data Compliance and Privacy Technology Development Report 06 补充 措施》则为数据跨境流动中的数据保护问题提供进 一步指导 5 。
(3)其他国家地区 日本当前采用政府和企业共同协作为核心的数 据要素发展策略,旨在加速社会的数字化转型进程, 并促进数据的跨境流动。该国还提倡确保数据的可 信流通,以支持和加强跨国数据的自由交换。日本 政府在数字化转型的进程中采取了积极的措施,于 2021 年 9 月 1 日成立了数字厅,成为全球首个设立 专门数据管理机构的国家。数字厅的职责包括监督 国家信息系统的运行、促进中央与地方政府间的信 息共享、与医疗、教育、防灾等领域的公共机构合 作开发信息系统,以及整合来自土地、交通等私营 部门的数据资源。在推动数据跨境流通方面,日本 一直倡导数据的自由流动。2019 年2 月,日本与欧 盟签订《欧盟日本数据共享协议》旨在促进两个经 济体之间数据的自由流动,并为数据驱动的创新和 经济增长提供坚实的法律基础。2019 年 6 月,在 G20 大阪峰会上,日本提出建立 “数据流通圈” 的倡 议 ,主张在确保数据安全的前提下,适当放宽个人 数据保护标准,以促进跨境数据的顺畅流动,实现“基 于信任的数据自由流动”。今年 7 月 1 日,日本与欧 盟签订的《欧盟 - 日本关于跨境数据流动的协议》 正式生效,该协议同时被纳入《欧盟 - 日本经济伙 伴关系协定》,其条款将促进双方的业务发展,并 反映出对数字保护主义的反对信号。在数据安全方 面,2003 年 5 月日本《个人信息保护法》正式通过 并于 2005 年 4 月 1 日正式施行,该法在《行政机关 计算机处理的个人信息保护法》的基础上制定,对 日本个人信息保护基本理念方针等总则性内容及与 民间企业相关的一般法性内容进行了规定,系日本 个人信息保护法制体系的基石,日本的个人信息保 护法对个人信息处理活动的规范相对较为宽松,注 重个人信息保护与数据合理利用的平衡。为《个人 信息保护法》更好落地,日本地方公共团体信息系 统机构对应修订了《个人信息保护基本方针》,旨 在“确保行政机关等的事务和业务正常、顺利地进行, 并确保个人信息的正确、有效的使用。
韩国在数据要素流通制度建设方面采取了一系 列措施,以促进数据的自由流动和有效利用,同时 确保数据安全和个人隐私保护。韩国政府推出“韩国 数字战略”,旨在打造全球顶级水平的数字力量,扩 大数字经济的覆盖范围,提升数字经济的包容性, 构建政府数字平台和推动数字文化创新。在组织管 理层面,韩国成立了国家数据政策委员会,承担着 国家数据及新兴产业政策的统筹与监管职责。该委 员会负责审查与国家数据政策相关的重大议题,并 定期每三年更新《数据产业振兴基本计划》。韩国 在数据产业的培育方面采取了积极措施。该国于 2021 年 10 月 12 日颁布了全球首部针对数据产业的 基本法律——《数据产业振兴及利用促进基本法》, 旨在通过法律手段推动数据产业的蓬勃发展和数据 经济的全面振兴,从而在全球范围内率先确立了数 据产业发展的先驱地位。而韩国的数据安全立法则 体现了该国对于个人信息保护的高度重视和对数据 驱动经济的积极适应。2011 年 3 月 29 日韩国颁布 了《个人信息保护法》作为韩国在个人数据保护领 域的基石,明确了韩国个人信息保护的统一性原则、要求及参考标准,并发布《个人信息保护法施行令》, 明确《个人信息保护法》授权的事项及实施所需的 事项,帮助其进一步落地,2023 年 3 月 14 日韩国 对《个人信息保护法》进行了部分修订以适应时代 发展新变化。除统一性法律文件外,韩国在各行业 不同场景下也制定了相应的数据保护法律法规,《信 息通信网络利用促进和信息保护法》对电信业个人 信用信息的收集、使用与保护进行全面和具体的规范;《信用信息使用和保护法》则是韩国关于金融 业商业交易中信用信息提供和使用的法规,致力于 健全信用信息相关产业,促进信用信息的有效使用 和系统管理,妥善保护个人生活机密,防止信用信 息被滥用和滥用;针对位置信息安全,韩国制定《位 置信息保护和使用法》保护隐私权,防止位置信息 的泄露、滥用和误用,提供安全的位置信息使用环境, 激活位置信息的使用。
自数据被正式确立为我国五大生产要素之一后, 我国随之发布了一系列数据要素安全、合规流通支 持政策及法律法规等规范性文件,已初步建立起数 据要素流通制度体系,确保在安全、合规的前提下 推动数据充分流通,最大程度发挥数据潜在价值。
(1)中央层面 在全国范围,我国中共中央、国务院在 2020 年 4 月发布《关于构建更加完善的要素市场化配置 体制机制的意见》中,将数据纳入生产要素范围, 将其列为与土地、劳动力、资产、技术同等地位的 第五大生产要素。2021 年底国务院制定“十四五”数 字经济发展规划,是中国为推动数字经济高质量发 展而制定的国家级专项规划,它明确了总体要求、 主要任务、重点工程和保障措施,旨在通过优化升 级数字基础设施、充分发挥数据要素作用、大力推 进产业数字化转型、加快推动数字产业化、持续提 升公共服务数字化水平、健全完善数字经济治理体 系。而《国务院关于构建数据基础制度更好发挥数据 要素作用的意见》(以下简称“意见”)(数据二十 条)的发布则全面提出了构建数据基础制度体系的 总体要求和具体措施,明确了数据产权制度的建立, 强调了数据产权结构性分置的重要性,并提出了数 据分类分级确权授权使用和市场化流通交易。
同时,意见提出了建立合规高效、场内外结合的数据要素 流通和交易制度,以及建立体现效率、促进公平的 数据要素收益分配制度。为进一步落实“数据二十条”, 我国资产评估协会于 2023 年发布《数据资产评估指 导意见》明确了数据资产的定义,涵盖了数据资产 评估的基本遵循、评估对象、操作要求、评估方法 和披露要求等内容。财政部发布的《企业数据资源 相关会计处理暂行规定》为数据资产入表提供了明 确的操作指引。为激活数据要素潜能,释放新质生 产力,我国于 2023 年底成立国家数据局统筹推进数 字中国、数字经济、数字社会规划和建设。今年数 据局发布 《“数据要素 ×”三年行动计划》强调了数 据要素在工业制造、现代农业、商贸流通、交通运输、 金融服务、科技创新、文化旅游、医疗健康、应急 管理、气象服务、城市治理、绿色低碳等 12 个行业 和领域的关键作用。行动计划的主要目标是到 2026 年底,数据要素应用的广度和深度显著拓展,数据 要素乘数效应在经济发展领域得到显现,形成 300 个以上的典型应用场景,培育一批数据商和第三方 专业服务机构,数据产品和服务质量效益明显提升, 数据产业年均增速超过 20%。国家数据局将会同有 关部门加强组织领导,开展试点工作,推动以赛促用, 加强资金支持,加强宣传推广,确保行动计划的实施效果。这一行动计划是中国推动数据要素市场化 配置、促进数字经济发展的重要举措,对于构建以 数据为关键要素的数字经济具有重要意义。
在促进数据要素流通的同时,我国同样重视数 据利用的安全合规。在民法、行政法、刑法的立法 框架上,我国形成了由三部单行法——《中华人民 共和国网络安全法》(以下简称《网络安全法》)《中 华人民共和国数据安全法》(以下简称《数据安全法》) 与《中华人民共和国个人信息保护法》(以下简称《个 人信息保护法》)组成的数据安全立法体系,分别 适用于境内所有网络运营者的包含处理个人信息及 数据在内的行为、所有主体处理网络数据和非网络 数据的行为、个人信息保护。在三部单行法律框架下, 我国近年陆续出台相关法规、规章、部门文件及重 要标准,针对特定领域、特定场景下的数据合规要 求和落地指引制定了详细规定。在行政法规方面, 《关键信息基础设施保护条例》对关键基础设施的 认定保护及其运营者责任义务进行了明确规定,而 《网络数据安全管理条例》则在三部法律的基础上, 细化了数据处理者相应的数据安全保护责任和义务 并对核心数据、重要数据的定义进行了阐释,给予 数据处理者落地数据安全合规更加清晰细化的标准。 在部门规章方面,由于不同行业、场景及对象数据 安全保护侧重点存在差异,我国相关部门针对各自 主管领域出台了一系列规章指导数据处理者等相关 主体进行安全合规工作,例如在出境场景中颁布《个 人信息出境标准合同办法》《数据出境安全评估办法》 等规章明确数据出境合规路径具体操作要点,而今 年出台的《促进和规范数据跨境流动规定》则豁免 了部分重要级别较低数据的跨境合规要求,减轻了 企业不必要的合规负担。在子领域方面,我国有《汽 车数据安全管理若干规定(试行)》《生成式人工 智能服务管理暂行办法》《电信和互联网用户个人 信息保护规定》等规章,就各不同行业领域数据合 规问题制定个性化制度。此外在部门文件方面,《互 联网信息服务深度合成管理规定》《个人信息合规 审计管理办法(征求意见稿)》等文件则是对于法 律法规的要求进行了进一步可落地化。在国家标准 方面,数据合规重要领域金融行业已有《个人金融 信息保护技术规范》《金融数据安全数据生命周期 安全规范》等标准对金融行业数据保护进行特别规 制,在数据体量庞大的重点监管领域——互联网行 业则出台了《电信和互联网数据安全评估规范》就 互联网领域数据安全评估工作设置体系化的流程方 案。在汽车领域也出台了《汽车采集数据处理安全 指南》等标准,规定了汽车制造商对汽车采集数据 的传输、存储和出境等处理活动的安全要求,为汽 车制造商开展汽车的设计、生产、销售、使用、运 维提供数据保护实施规范。此外,近年我国对于三 部单行法中细节性的要求也进行了再规范,消除法 律专业名词歧义,帮助企业顺利落地相关规定,就 个人信息保护脱敏、告知同意等细节问题发布新标, 《个人信息去标识化效果评估指南》明确了个人信 息去标识化效果评定流程,并在附录给出了可参考 的计算方法和阈值推荐,为去标识化技术的落地发 展提供了更明确的指引;《个人信息处理中告知和 同意的实施指南》则详述了告知同意的适用情形、 基本原则、实施方式等内容。
(2)地方层面 在中央统一出台的政策法规以外,我国各省也 针对本省内部数据要素流通实际情况制定了一系列 相关制度和规范。 北京是我国目前数据要素制度建设较为成熟的 地区之一,在制度创新优化方面采取了积极措施。 2023 年 6 月北京市发布《关于更好发挥数据要素作 用进一步加快发展数字经济的实施意见》(北京“数 据二十条”),旨在探索建立结构性分置的数据产权 制度,明确数据来源、持有、加工、流通、使用过程中各参与方的合法权利;开展数据资产登记,推 动数据资产评估和入表,探索数据资产金融创新; 建设一体化数据流通体系,推进社会数据有序流通, 鼓励数据商进场交易。后续又陆续发布《北京市企 业数据知识产权工作指引(试行)》《北京市公共 数据专区授权运营管理办法(试行)》及《北京市 西城区加快推进数据要素市场高质量发展的若干措 施(征求意见稿)》等文件,旨在通过政策引导和 市场运作,促进数据资源的有效利用和安全流通, 推动数字经济的高质量发展。此外,北京市还启动 了全国首个数据基础制度先行区,规划了“2+5+N” 的数据先行区基础架构,以推动数据要素市场的发 展。到 2030 年,北京市的目标是数据要素市场规模 达到 2000 亿元人民币,基本完成国家数据基础制度 先行先试工作,形成数据服务产业集聚区。
上海则是以 2021 年发布的《上海市数据条例》 为基础,辅以系列政府管理办法、规定、行动方案 为主体,其他各类指南、实施细则等文件,构建了 相对成熟且科学完善的数据要素管理体系。《上海 市数据条例》旨在保护自然人、法人和非法人组织 与数据相关的权益,规范数据处理活动,促进数据 依法有序流动,保障数据安全,并加快数据要素市 场培育。条例明确了数据的定义、数据处理活动的 范围,以及数据安全的重要性。条例强调了公共数 据的管理和开放,推动公共数据资源体系的建设, 提高公共数据共享效率,扩大公共数据有序开放, 并构建统一协调的公共数据运营机制。上海对公共 数据的开放利用重视程度较高,今年发布的《上海 市公共数据开放实施细则》《上海市公共数据共享 实施办法(试行)》及《上海市公共数据开放 2023 年度重点工作安排》等文件对公共数据的开放共享 方式、要求、主体及主要流程等具体操作规范进行 了明确。此外,上海针对数据安全及个人信息保护 开展了一系列专项行动,如“上海市铸盾车联车联网 网络和数据安全专项行动”、“浦江护航数据安全专 项行动”及“上海市电信和互联网行业网络和数据安 全检查”等,旨在确保企业重要数据和个人信息处理 的安全合规。
当前广东省在数据交易、流通方面呈现高速发 展势态。2023 年深圳市和广东省分别发布了《深圳 市数据交易管理暂行办法》和《广东省数据流通交 易管理办法(试行)(征求意见稿)》强调了数据 交易的合规性,明确了数据资源持有权、数据加工 使用权和数据产品经营权等权利,并提出了数据价 值评估指标体系,以激活数据资源的价值;明确了 数据交易市场的各个主体,包括数据卖方、数据买方、 数据商和第三方服务机构,并规定了其职责和运营 要求。广东省还探索了数据经纪人制度,通过专业 中介服务促进数据流通交易。此外,广州还发布了《广 州市数据条例(征求意见稿)》规范了广州市数据 管理体系,特别强调了南沙区在粤港澳大湾区数据 合作中的重要作用,推动数据跨境流动和监管机制 的创新。在数据安全合规方面,深圳于 2023 年发布 了《深圳市企业数据合规指引》引导企业加强数据 合规管理,提高数据合规意识与保护水平,内容涵 盖了数据安全合规管理组织体系建设、数据合规管 理制度体系建设、数据全生命周期合规、数据出境 合规等方面。 其他各省市也基于地方情况出台了地方性数据 要素相关法规及综合性数据立法。当前,贵州、天 津、海南、山西、吉林、安徽、山东、辽宁、黑龙江、 陕西、宁夏等地区面向公共数据领域,已出台大数 据保护条例(包括草案)。厦门等地则出台发布《厦 门经济特区数据条例》,不仅涉及公共数据,还涵 盖了个人数据等相关规定。湖北、安徽、江苏、重 庆等地还开展了系列网络及数据安全保护专项行动, 兼顾数据的利用和安全合规。
